Jump to content

Passwordpolicy


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

Ich habe hier ein kleines Problem. Und zwar haben wir in unserer W2K Domaene eine Passwordpolicy erstellt, welche unter anderem die Komplexitaetsanforderung fuer Kennwoerter verlangt. Jetzt ist das Problem, dass wir mit RADA arbeiten und die entsprechenden Geraete mit der MAC Adresse als Namen und Kennwort als Account angelegt werden. Diese Accounts liegen alle in einer OU innerhalb unserer AD Struktur. Da das Kennwort ja in diesem Fall nicht der Komplexitaetsanforderung entspricht, weil es den Benutzernamen enthaelt, haben wir da jetzt ein Problem, welches geloest werden will. Es soll auf jeden Fall der Benutzername und das Kennwort so verbleiben, wie es jetzt ist, also die MAC Adresse. Auf die OU brauche ich ja auch keine neue Kennwortrrichtlinie zu legen, da die dann ja nur fuer die lokalen Accounts gelten wuerde. Hat vielleicht jemand eine ganz kreative Idee, wie dieses Problem geloest werden koennte? Ich waere aber sowas von dankbar!!!!! ;)

Link zu diesem Kommentar

wenn es in der DDP defniert ist hast du keine möglichkeit es für eine andere OU zu blocken oder anders zu definieren. seit W2K3 empfiehlt MS ausdrücklich die DDP überhaupt nicht mehr anzufassen, nicht mal mehr für die kennwortrichtlinien.

 

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/strngpw.mspx

 

wenn du die policy trennst und in der hirachie so einstellst das sie auf die OU der RADA nicht wirkt, durch blockieren, dann kann bzw. könnte es gehen.

Link zu diesem Kommentar

@IThome

nee, haste richtig verstanden, aber: man muesste die Komplexitaet dann jedes mal ausschalten, wenn ein neuer Computer oder Drucker ins Netz genommen werden soll. Das ist in meinen Augen wenig praktikabel.

@Hirgelzwift

Ja, das hatte ich befuerchtet, ist aber auch kein grosser Act. Dann mache ich einfach eine neue Policy und deaktiviere die fuer die RADA OU. Vielen Dank!!! :)

Link zu diesem Kommentar

.... und was wenn er neue geräte bekommt und oder änderungen vornahmen muss? soll er dann jedesmal erst die richtlinie "verbiegen". (edit: (MVL :D ))

 

unter W2K wäre es kein prob gewesen. da konnte der admin auch kennwörter setzen, auch mit komplexität, die nicht komplex waren. oder gibt es dafür evtl. einen schalter den ich noch nicht kenne, das man es dem admin erlaubt?

Link zu diesem Kommentar
wenn es in der DDP defniert ist hast du keine möglichkeit es für eine andere OU zu blocken oder anders zu definieren.

Ob die Richtlinie in der DDP oder in einer eigenen GPO definiert wird spielt keine Rolle, da du die Kennwortrichtlinie sowieso nicht blockieren kannst.

Ich würde hier auch die DDP nehmen, weil es schlichtweg keinen Sinn macht widersprüchliche GPOs in der Domäne zu haben.

Es wird wohl auf die Lösung von IThome hinauslaufen. :)

Link zu diesem Kommentar

aber ich bin schon die ganze zeit am grübeln, irgendwas gefällt mir noch nicht. wenn man es so macht wie es in dem link von MS steht dann musst du die password GPO erzwingen auch wenn diese in der hirachie über der DDP steht. wenn sie auf oberster ebene erzwungen ist kannst du sie weiter unten nicht blockieren. erzwingen hat vorrang......

 

also wenn man sie wirklich erzwingen muss dann wird es wieder nix mit dieser lösung oder man müsste die policy jeweils seperat mit allen OU's, ausser die es nicht treffen soll, einzeln verlinken und erzwingen oder in der rangfolge verschieben!? ich habe das noch nicht probiert.

 

oder denke ich falsch?

Link zu diesem Kommentar

Also ich hab jetzt folgendes probiert:

Ich habe eine neue GPO auf Domaenenebene erstellt und den Gruppen, in denen sich alle RADA-Clients befinden das lesen der Policy verweigert. Klappt nicht.

Dann habe ich auf der OU in der sich die Clients befinden das Blocken aktiviert. Klappt auch nicht. Irgendwie lassen sich die Passwortrichtlinien nicht blocken. So ein Aerger!

Link zu diesem Kommentar

Hi,

 

also nach meinem Veständnis kannst du dein Problem nur mit einer weiteren Domäne innerhalb deiner Gesamtstruktur lösen. Auch der verlinkte MS Artikel sagt nichts anderes!

 

Es kann in einer Domäne nur eine einheitliche GPO für die Domänenkonten geben - da führt meiner Meinung kein Weg dran vorbei - zumindest habe ich noch keine Lösung in diese Richtung gesehen!

 

Liebe Grüße

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...